Komputer Kompletnie Zavirusowany.HELP

Farciash · 9 Czerwiec 2007 05:30

Witam,

Od pewnego czasu mam co raz więcej ataków z sieci na mój komputer, nie weim co robić. Mój antyvirus to avast!. Skanuje również system takiimi programami, jak : Ad-Aware SE Personal i SpyBot Search&Destroy. To wszystko nie pomaga. Cały czas avast informuje mnie że wykrywa kolejne Konie Trojańskie, ale ja nie moge nic zrobić, ponieważ “Nie możesz usunąć tego pliku, gdyż jest on używany przez inny proces.” Troche próbowałem wyczyścic podczas rozruchu avastem, ale też za wiele nie pomogło. Mam Windows XP jeśli to w czymś pomoże. Prosze o natychmiastową pomoc i jakieś rady - jakie są teraz dobre antyvirusy (i te za darmo i te do kupienia, albo dodawane np do Cipa lub PC World etc), jakie są najskuteczniejsze FireWalle i inne tego typu.

Prosze o szybką odpowiedź. Z góry dziękuje. Oto log z HiJacka:

Logfile of HijackThis v1.99.1 Scan saved at 07:23:47, on 2007-06-09 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\System32\svcchosst.exe C:\WINDOWS\system32\sscc.exe C:\WINDOWS\system32\mdmdd.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\WINDOWS\System32\clockz.exe C:\WINDOWS\windll.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\NSecurity.exe C:\WINDOWS\System32\sxe.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\irdvxc.exe C:\WINDOWS\system\msnntlp.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Windows XP\Pulpit\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotinfolink.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gocyberlink.com/registration … l&Lang=Plk R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.3.28.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: IE Assistant - {B08D32DE-64B2-4137-8345-87293E70D40B} - C:\WINDOWS\System32\iea.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [msconfig38] mssvcc.exe O4 - HKLM…\Run: [secures23] lat.exe O4 - HKLM…\Run: [DAEMON Tools-1033] “C:\Program Files\D-Tools\daemon.exe” -lang 1045 O4 - HKLM…\Run: [winsystems25] winsystems.exe O4 - HKLM…\Run: [YeppStudioAgent] C:\Program Files\Samsung\SamsungMediaStudio4.1\SamsungMediaStudioAgent.exe O4 - HKLM…\Run: [Network Security] C:\WINDOWS\System32\NSecurity.exe O4 - HKLM…\Run: [msvccc66] svcchosst.exe O4 - HKLM…\Run: [Winamp Media] C:\WINDOWS\System32\qmedia.exe O4 - HKLM…\Run: [Windll] C:\WINDOWS\windll.exe O4 - HKLM…\Run: [sixer566] C:\WINDOWS\system32\sscc.exe O4 - HKLM…\Run: [melg3445] C:\WINDOWS\system32\mdmdd.exe O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [iexplore Data1 Center] C:\WINDOWS\System32\clockz.exe O4 - HKLM…\Run: [Windows Security Center Notification Appls] C:\WINDOWS\System32\sxe.exe O4 - HKLM…\Run: [Windows Security Centers] C:\WINDOWS\System32\wimnini.exe O4 - HKLM…\RunServices: [msconfig38] mssvcc.exe O4 - HKLM…\RunServices: [secures23] lat.exe O4 - HKLM…\RunServices: [winsystems25] winsystems.exe O4 - HKLM…\RunServices: [msvccc66] svcchosst.exe O4 - HKLM…\RunServices: [iexplore Data1 Center] C:\WINDOWS\System32\clockz.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [EdHTML] C:\Program Files\Binboy\EdHTMLv5.0\EdHTML.exe /none O4 - HKCU…\Run: [Network Security] C:\WINDOWS\System32\NSecurity.exe O4 - HKCU…\Run: [Winamp Media] C:\WINDOWS\System32\qmedia.exe O4 - HKCU…\Run: [sixer566] C:\WINDOWS\system32\sscc.exe O4 - HKCU…\Run: [melg3445] C:\WINDOWS\system32\mdmdd.exe O4 - HKCU…\Run: [Windows Security Center Notification Appls] C:\WINDOWS\System32\sxe.exe O4 - HKCU…\Run: [Windows Security Centers] C:\WINDOWS\System32\wimnini.exe O8 - Extra context menu item: &Pobierz przez ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Pobierz &wszystko przez ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan … asinst.cab O17 - HKLM\System\CCS\Services\Tcpip…{8F2A9C7D-E0C5-4F9D-BA46-42D2E8BD4721}: NameServer = 194.204.159.1 217.98.63.164 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing) O23 - Service: msnntlp - Unknown owner - C:\WINDOWS\system\msnntlp.exe

Onlinemaster · 9 Czerwiec 2007 07:20

HijackThis-em usuwasz:

C:\WINDOWS\System32\svcchosst.exe

C:\WINDOWS\system32\sscc.exe

C:\WINDOWS\system32\mdmdd.exe

C:\WINDOWS\windll.exe

C:\WINDOWS\System32\NSecurity.exe

C:\WINDOWS\System32\sxe.exe

C:\WINDOWS\System32\irdvxc.exe

C:\WINDOWS\system\msnntlp.exe

O4 - HKLM…\Run: [msconfig38] mssvcc.exe

O4 - HKLM…\Run: [secures23] lat.exe

O4 - HKLM…\Run: [winsystems25] winsystems.exe

O4 - HKLM…\Run:[NetworkSecurity]C:\WINDOWS\System32\NSecurity.exe

O4 - HKLM…\Run: [msvccc66] svcchosst.exe

O4 - HKLM…\Run: [Winamp Media] C:\WINDOWS\System32\qmedia.exe

O4 - HKLM…\Run: [Windll] C:\WINDOWS\windll.exe

O4 - HKLM…\Run: [sixer566] C:\WINDOWS\system32\sscc.exe

O4 - HKLM…\Run: [melg3445] C:\WINDOWS\system32\mdmdd.exe

O4 - HKLM…\Run: [Windows Security Center Notification Appls] C:\WINDOWS\System32\sxe.exe

O4 - HKLM…\Run: [Windows Security Centers] C:\WINDOWS\System32\wimnini.exe

O4 - HKLM…\RunServices: [msconfig38] mssvcc.exe

O4 - HKLM…\RunServices: [secures23] lat.exe

O4 - HKLM…\RunServices: [winsystems25] winsystems.exe

O4 - HKLM…\RunServices: [msvccc66] svcchosst.exe

O4 - HKCU…\Run: [Network Security] C:\WINDOWS\System32\NSecurity.exe

O4 - HKCU…\Run: [Winamp Media] C:\WINDOWS\System32\qmedia.exe

O4 - HKCU…\Run: [sixer566] C:\WINDOWS\system32\sscc.exe

O4 - HKCU…\Run: [melg3445] C:\WINDOWS\system32\mdmdd.exe

O4 - HKCU…\Run: [Windows Security Center Notification Appls] C:\WINDOWS\System32\sxe.exe

O4 - HKCU…\Run: [Windows Security Centers] C:\WINDOWS\System32\wimnini.exe

O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)

O23 - Service: msnntlp - Unknown owner - C:\WINDOWS\system\msnntlp.exe

Zrestartuj komp

Zainstaluj sobie również jedną z porządnych przeglądarek internetowych jak Firefox czy Opera i przeglądaj net tylko przez nią !

Później sie odezwij jak usuniesz Hijackiem powyższe wpisy…

Farciash · 9 Czerwiec 2007 18:27

wszystko pokasowałem, czekam na rezultaty. Dam znac jutro rano. Dzieki piekne =*

qrczak13 · 9 Czerwiec 2007 18:45

Sam fix w HJT niewiele da.

Pobierz Windows Worms Doors Cleaner, ustaw znaczki na zielono, Netbios może być na żółto.

Po użyciu narzędzia wymagany jest restart.

Start > uruchom > cmd > wpisz:

sc stop MSDisk

sc stop "msnntlp"

sc delete MSDisk

sc delete "msnntlp"

R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file) O4 - HKLM…\Run: [msconfig38] mssvcc.exe O4 - HKLM…\Run: [secures23] lat.exe O4 - HKLM…\Run: [winsystems25] winsystems.exe O4 - HKLM…\Run: [Network Security] C:\WINDOWS\System32\NSecurity.exe O4 - HKLM…\Run: [msvccc66] svcchosst.exe O4 - HKLM…\Run: [Winamp Media] C:\WINDOWS\System32\qmedia.exe O4 - HKLM…\Run: [Windll] C:\WINDOWS\windll.exe O4 - HKLM…\Run: [sixer566] C:\WINDOWS\system32\sscc.exe O4 - HKLM…\Run: [melg3445] C:\WINDOWS\system32\mdmdd.exe O4 - HKLM…\Run: [iexplore Data1 Center] C:\WINDOWS\System32\clockz.exe O4 - HKLM…\Run: [Windows Security Center Notification Appls] C:\WINDOWS\System32\sxe.exe O4 - HKLM…\Run: [Windows Security Centers] C:\WINDOWS\System32\wimnini.exe O4 - HKLM…\RunServices: [msconfig38] mssvcc.exe O4 - HKLM…\RunServices: [secures23] lat.exe O4 - HKLM…\RunServices: [winsystems25] winsystems.exe O4 - HKLM…\RunServices: [msvccc66] svcchosst.exe O4 - HKLM…\RunServices: [iexplore Data1 Center] C:\WINDOWS\System32\clockz.exe O4 - HKCU…\Run: [Network Security] C:\WINDOWS\System32\NSecurity.exe O4 - HKCU…\Run: [Winamp Media] C:\WINDOWS\System32\qmedia.exe O4 - HKCU…\Run: [sixer566] C:\WINDOWS\system32\sscc.exe O4 - HKCU…\Run: [melg3445] C:\WINDOWS\system32\mdmdd.exe O4 - HKCU…\Run: [Windows Security Center Notification Appls] C:\WINDOWS\System32\sxe.exe O4 - HKCU…\Run: [Windows Security Centers] C:\WINDOWS\System32\wimnini.exe O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing) O23 - Service: msnntlp - Unknown owner - C:\WINDOWS\system\msnntlp.exe

Pliki na czerwono usuń z dysku ręcznie w trybie awaryjnym, a wpisy w HJT.

Daj log z ComboFix.

Farciash · 10 Czerwiec 2007 07:53

To tak: Windows Worms Door Cleaner - pobrany i znaczki ustawione na zielono,

to co w cmd miało byc zrobione - wykonane

wpisy te które miałby być w HJT usunięte - usunąłem,

wpisy koloru czerwonego (część usunięta). Tych plików:

O4 - HKLM…\Run: [msconfig38] mssvcc.exe

O4 - HKLM…\Run: [secures23] lat.exe

O4 - HKLM…\Run: [winsystems25] winsystems.exe

O4 - HKLM…\Run: [Network Security] C:\WINDOWS\System32\NSecurity.exe

O4 - HKLM…\Run: [Winamp Media] C:\WINDOWS\System32\qmedia.exe

O4 - HKLM…\Run: [Windll] C:\WINDOWS\windll.exe

O4 - HKLM…\Run: [sixer566] C:\WINDOWS\system32\sscc.exe

O4 - HKLM…\Run: [iexplore Data1 Center] C:\WINDOWS\System32\clockz.exe

O4 - HKLM…\Run: [Windows Security Center Notification Appls] C:\WINDOWS\System32\sxe.exe

Nie udało mi się usunąć, gdż ich tam już nie było. Prawdopodobnie udało mi sie skutecznie skasować je recznie w zwykłym trybie.

Teraz daje loga z ComboFix:

ComboFix 07-06-09.5 - BĄd wejcia: Brak aparatu skrypt˘w dla plik˘w o rozszerzeniu “.vbs”. “Windows XP” - 2007-06-10 9:40:57 - Dodatek Service Pack. 1 NTFS ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\crypts.dll ((((((((((((((((((((((((( Files Created from 2007-05-10 to 2007-06-10 ))))))))))))))))))))))))))))))) 2007-06-10 09:40 49,152 --a------ C:\WINDOWS\nircmd.exe 2007-06-10 08:02 0 --a------ C:\WINDOWS\system32\wingare.exe 2007-06-09 20:03 38,912 --a------ C:\homep.exe 2007-06-08 10:21 68,608 --a------ C:\helpmsw.exe 2007-06-08 10:07 70,834 --a------ C:\DOCUME~1\WINDOW~1\6.exe 2007-06-08 10:05 41,472 -r-hs---- C:\WINDOWS\system\msnntlp.exe 2007-06-07 15:34 72,380 --a------ C:\DOCUME~1\WINDOW~1\4.exe 2007-06-07 10:39 1,282,560 -r-hs---- C:\WINDOWS\system32\clockz.exe 2007-06-06 22:38 62,976 --ahs---- C:\WINDOWS\system32\irdvxc.exe 2007-06-06 20:05 49,400 --a------ C:\WINDOWS\system32\eraseme_75263.exe 2007-06-06 07:51 5,606 --a------ C:\WINDOWS\system32\stci.dll 2007-06-06 07:51 2007-06-06 07:49 72,380 —hs---- C:\WINDOWS\system32\mdmdd.exe 2007-06-05 15:47 70,834 —hs---- C:\WINDOWS\system32\sscc.exe 2007-06-02 20:33 98 --a------ C:\WINDOWS\temp.bat 2007-06-02 20:32 20,174 --a------ C:\do.exe 2007-05-26 09:39 70,688 --a------ C:\WINDOWS\system32\drivers\alcaudsl.sys 2007-05-26 09:39 5,280 --a------ C:\WINDOWS\system32\drivers\alcawh.sys 2007-05-26 09:39 3,968 --a------ C:\WINDOWS\system32\drivers\alcacr.sys 2007-05-26 09:17 2007-05-25 22:56 306,688 --a------ C:\WINDOWS\IsUninst.exe 2007-05-25 22:56 27,904 --a------ C:\WINDOWS\system32\drivers\viaagp1.sys 2007-05-25 15:10 107,008 --a------ C:\WINDOWS\system32\iea.dll (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-10 06:17:09 -------- d-----w C:\Program Files\Mistrz Klawiatury 1.0 Demo 2007-06-10 06:15:55 -------- d-----w C:\Program Files\KalOnlineEng 2007-06-10 06:13:57 -------- d-----w C:\Program Files\SwiftSwitch 2007-06-10 06:13:45 -------- d–h--w C:\Program Files\InstallShield Installation Information 2007-06-10 06:09:03 -------- d-----w C:\Program Files\Counter-Strike 1.6 2007-05-29 13:19:58 -------- d-----w C:\Program Files\eMule2 2007-05-26 07:02:04 -------- d-----w C:\Program Files\Neostrada TP 2007-05-25 15:37:52 -------- d-----w C:\Program Files\Tibia 2007-05-06 19:41:59 -------- d-----w C:\Program Files\BitComet 2007-04-30 15:46:10 745,600 ----a-w C:\WINDOWS\system32\aswBoot.exe 2007-04-30 15:41:55 85,952 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys 2007-04-30 15:41:42 94,552 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys 2007-04-30 15:39:41 23,416 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys 2007-04-30 15:38:51 43,176 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys 2007-04-30 15:37:23 26,888 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys 2007-04-30 15:35:28 95,872 ----a-w C:\WINDOWS\system32\AVASTSS.scr 2007-04-25 07:37:05 2,560 ----a-w C:\WINDOWS\system32\BitCometRes.dll 2007-03-25 09:51:55 49,712 ----a-w C:\WINDOWS\system32\perfc015.dat 2007-03-25 09:51:55 355,830 ----a-w C:\WINDOWS\system32\perfh015.dat 2006-12-13 19:44:29 2,048 --sh–w C:\WINDOWS\system32\helpermfcee.exe 2006-12-12 17:32:10 2,048 --sh–w C:\WINDOWS\system32\helpermfee.exe 2006-12-13 20:51:26 2,048 --sh–w C:\WINDOWS\system32\helpersysem.exe 2002-10-10 12:13:13 1,397,760 --sh–r C:\WINDOWS\system32\qbekcml.exe 2002-10-10 12:13:13 69,146 --sh–r C:\WINDOWS\system32\svcchosst.exe ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll [2003-11-04 00:17] {16664845-0E00-11D2-8059-000000000000}=C:\Program Files\Common Files\ReGet Shared\Catcher.dll [2005-03-08 16:22] {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}=C:\Program Files\BitComet\tools\BitCometBHO_1.1.3.28.dll [2007-03-29 16:31] {53707962-6F74-2D53-2644-206D7942484F}=C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2005-05-31 02:04] {B08D32DE-64B2-4137-8345-87293E70D40B}=C:\WINDOWS\System32\iea.dll [2007-05-25 17:34] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-04-30 17:42] “DAEMON Tools-1033”=“C:\Program Files\D-Tools\daemon.exe” [2004-08-22 17:05] “Windll”="" [] “SpeedTouch USB Diagnostics”=“C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” [2004-01-26 11:38] “UserFaultCheck”="%systemroot%\system32\dumprep 0 -u" [] “Windowe LoL Layera”=“qbekcml.exe” [2002-10-10 14:13 C:\WINDOWS\system32\qbekcml.exe] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\System32\ctfmon.exe” [2002-10-10 14:13] “EdHTML”=“C:\Program Files\Binboy\EdHTMLv5.0\EdHTML.exe” [2003-03-24 18:38] “Windowe LoL Layera”=“qbekcml.exe” [2002-10-10 14:13 C:\WINDOWS\system32\qbekcml.exe] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices] “Iexplore Data1 Center”=C:\WINDOWS\System32\clockz.exe “Windowe LoL Layera”=qbekcml.exe [HKEY_USERS.default\software\microsoft\windows\currentversion\run] “Network Security”=C:\WINDOWS\System32\NSecurity.exe “Windows Security Center Notification Appls”=C:\WINDOWS\System32\sxe.exe “Windows Security Centers”=C:\WINDOWS\System32\wimnini.exe “Windowe LoL Layera”=qbekcml.exe HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs* ************************************************************************** catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-10 09:42:22 Windows 5.1.2600 Dodatek Service Pack. 1 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-06-10 9:42:48 C:\ComboFix-quarantined-files.txt … 2007-06-10 09:42 — E O F —

p.s

Najbardziej jeste atakowany przez różnego rodzaju Trojany - czy możesz polecić jakiś skuteczny rpogram na trojany.

p.S 2

Prawdopodobne jest, że nie mam żadnych Service Paków na kompie - czy sciągnąc jakiegoś (jeśli tak to którego, bo jak wpisałem w wyszukiwarce na dobreprogramy.pl to mi znalazło 10 ;p - mam Win XP HE.)

Dziękuje

Gutek · 10 Czerwiec 2007 09:47

Pobierz The Avenger. Wypakuj => uruchom => zaznacz opcję Input script manually => kliknij w taką lupkę => w okienku, które się otworzy wklej:

kliknij klawisz Done => teraz kliknij na zielone światełko => powinna pojawić się pewna informacja i kliknij OK (teraz restart).

Po tym nowy log

Farciash · 10 Czerwiec 2007 12:13

Wsyzstko zrobione tak jak mówiłeś: Oto log z ComboFix’a :

ComboFix 07-06-09.5 - BĄd wejcia: Brak aparatu skrypt˘w dla plik˘w o rozszerzeniu “.vbs”. “Windows XP” - 2007-06-10 14:09:27 - Dodatek Service Pack. 1 NTFS ((((((((((((((((((((((((( Files Created from 2007-05-10 to 2007-06-10 ))))))))))))))))))))))))))))))) 2007-06-10 09:40 49,152 --a------ C:\WINDOWS\nircmd.exe 2007-06-06 20:05 49,400 --a------ C:\WINDOWS\system32\eraseme_75263.exe 2007-06-06 07:51 5,606 --a------ C:\WINDOWS\system32\stci.dll 2007-06-06 07:51 2007-05-26 09:39 70,688 --a------ C:\WINDOWS\system32\drivers\alcaudsl.sys 2007-05-26 09:39 5,280 --a------ C:\WINDOWS\system32\drivers\alcawh.sys 2007-05-26 09:39 3,968 --a------ C:\WINDOWS\system32\drivers\alcacr.sys 2007-05-26 09:17 2007-05-25 22:56 306,688 --a------ C:\WINDOWS\IsUninst.exe 2007-05-25 22:56 27,904 --a------ C:\WINDOWS\system32\drivers\viaagp1.sys 2007-05-25 15:10 107,008 --a------ C:\WINDOWS\system32\iea.dll (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-10 06:17:09 -------- d-----w C:\Program Files\Mistrz Klawiatury 1.0 Demo 2007-06-10 06:15:55 -------- d-----w C:\Program Files\KalOnlineEng 2007-06-10 06:13:57 -------- d-----w C:\Program Files\SwiftSwitch 2007-06-10 06:13:45 -------- d–h--w C:\Program Files\InstallShield Installation Information 2007-06-10 06:09:03 -------- d-----w C:\Program Files\Counter-Strike 1.6 2007-05-29 13:19:58 -------- d-----w C:\Program Files\eMule2 2007-05-26 07:02:04 -------- d-----w C:\Program Files\Neostrada TP 2007-05-25 15:37:52 -------- d-----w C:\Program Files\Tibia 2007-05-06 19:41:59 -------- d-----w C:\Program Files\BitComet 2007-04-30 15:46:10 745,600 ----a-w C:\WINDOWS\system32\aswBoot.exe 2007-04-30 15:41:55 85,952 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys 2007-04-30 15:41:42 94,552 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys 2007-04-30 15:39:41 23,416 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys 2007-04-30 15:38:51 43,176 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys 2007-04-30 15:37:23 26,888 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys 2007-04-30 15:35:28 95,872 ----a-w C:\WINDOWS\system32\AVASTSS.scr 2007-04-25 07:37:05 2,560 ----a-w C:\WINDOWS\system32\BitCometRes.dll 2007-03-25 09:51:55 49,712 ----a-w C:\WINDOWS\system32\perfc015.dat 2007-03-25 09:51:55 355,830 ----a-w C:\WINDOWS\system32\perfh015.dat ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll [2003-11-04 00:17] {16664845-0E00-11D2-8059-000000000000}=C:\Program Files\Common Files\ReGet Shared\Catcher.dll [2005-03-08 16:22] {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}=C:\Program Files\BitComet\tools\BitCometBHO_1.1.3.28.dll [2007-03-29 16:31] {53707962-6F74-2D53-2644-206D7942484F}=C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2005-05-31 02:04] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-04-30 17:42] “DAEMON Tools-1033”=“C:\Program Files\D-Tools\daemon.exe” [2004-08-22 17:05] “Windll”="" [] “SpeedTouch USB Diagnostics”=“C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” [2004-01-26 11:38] “UserFaultCheck”="%systemroot%\system32\dumprep 0 -u" [] “Windowe LoL Layera”=“qbekcml.exe” [] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\System32\ctfmon.exe” [2002-10-10 14:13] “EdHTML”=“C:\Program Files\Binboy\EdHTMLv5.0\EdHTML.exe” [2003-03-24 18:38] “Windowe LoL Layera”=“qbekcml.exe” [] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices] “Iexplore Data1 Center”=C:\WINDOWS\System32\clockz.exe “Windowe LoL Layera”=qbekcml.exe [HKEY_USERS.default\software\microsoft\windows\currentversion\run] “Network Security”=C:\WINDOWS\System32\NSecurity.exe “Windows Security Center Notification Appls”=C:\WINDOWS\System32\sxe.exe “Windows Security Centers”=C:\WINDOWS\System32\wimnini.exe “Windowe LoL Layera”=qbekcml.exe HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs* ************************************************************************** catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-10 14:11:20 Windows 5.1.2600 Dodatek Service Pack. 1 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-06-10 14:11:54 C:\ComboFix-quarantined-files.txt … 2007-06-10 14:11 C:\ComboFix2.txt … 2007-06-10 09:42 — E O F —

Prosze o jakieś propozycje programów antyvirusowych i firewalli - Prosze. Co zrobić aby nie dopuścić do zaistaniłej sytuacji w przyszłości?

Dziękuje

qrczak13 · 10 Czerwiec 2007 13:28

The Avenger > uruchom > Input script manually > klikasz w lupkę > w nowo otwartym oknie wklejasz:

Files to delete: C:\WINDOWS\system32\qbekcml.exe C:\WINDOWS\System32\wimnini.exe C:\WINDOWS\System32\sxe.exe C:\WINDOWS\System32\NSecurity.exe C:\WINDOWS\System32\clockz.exe Registry values to delete: “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” | “Windll” “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” | “UserFaultCheck” “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” | “Windowe LoL Layera” “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” | “Windowe LoL Layera” “HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices” | “Iexplore Data1 Center” “HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices” | “Windowe LoL Layera” “HKEY_USERS.default\software\microsoft\windows\currentversion\run” | “Network Security” “HKEY_USERS.default\software\microsoft\windows\currentversion\run” | “Windows Security Center Notification Appls” “HKEY_USERS.default\software\microsoft\windows\currentversion\run” | “Windows Security Centers” “HKEY_USERS.default\software\microsoft\windows\currentversion\run” | “Windowe LoL Layera”

Po wklejeniu > Done > klik na zielone światło > ok i będzie restart. Po restarcie wchodzisz gdzie masz The Avenger, kasujesz C:\Avenger\backup.zip i wklejasz raport C:\avenger.txt

Nowy log z combo.

Farciash · 10 Czerwiec 2007 17:55

Oto log:

ComboFix 07-06-09.5 - BĄd wejcia: Brak aparatu skrypt˘w dla plik˘w o rozszerzeniu “.vbs”. “Windows XP” - 2007-06-10 19:43:05 - Dodatek Service Pack. 1 NTFS ((((((((((((((((((((((((( Files Created from 2007-05-10 to 2007-06-10 ))))))))))))))))))))))))))))))) 2007-06-10 09:40 49,152 --a------ C:\WINDOWS\nircmd.exe 2007-06-06 20:05 49,400 --a------ C:\WINDOWS\system32\eraseme_75263.exe 2007-06-06 07:51 5,606 --a------ C:\WINDOWS\system32\stci.dll 2007-06-06 07:51 2007-05-26 09:39 70,688 --a------ C:\WINDOWS\system32\drivers\alcaudsl.sys 2007-05-26 09:39 5,280 --a------ C:\WINDOWS\system32\drivers\alcawh.sys 2007-05-26 09:39 3,968 --a------ C:\WINDOWS\system32\drivers\alcacr.sys 2007-05-26 09:17 2007-05-25 22:56 306,688 --a------ C:\WINDOWS\IsUninst.exe 2007-05-25 22:56 27,904 --a------ C:\WINDOWS\system32\drivers\viaagp1.sys 2007-05-25 15:10 107,008 --a------ C:\WINDOWS\system32\iea.dll (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-10 06:17:09 -------- d-----w C:\Program Files\Mistrz Klawiatury 1.0 Demo 2007-06-10 06:15:55 -------- d-----w C:\Program Files\KalOnlineEng 2007-06-10 06:13:57 -------- d-----w C:\Program Files\SwiftSwitch 2007-06-10 06:13:45 -------- d–h--w C:\Program Files\InstallShield Installation Information 2007-06-10 06:09:03 -------- d-----w C:\Program Files\Counter-Strike 1.6 2007-05-29 13:19:58 -------- d-----w C:\Program Files\eMule2 2007-05-26 07:02:04 -------- d-----w C:\Program Files\Neostrada TP 2007-05-25 15:37:52 -------- d-----w C:\Program Files\Tibia 2007-05-06 19:41:59 -------- d-----w C:\Program Files\BitComet 2007-04-30 15:46:10 745,600 ----a-w C:\WINDOWS\system32\aswBoot.exe 2007-04-30 15:41:55 85,952 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys 2007-04-30 15:41:42 94,552 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys 2007-04-30 15:39:41 23,416 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys 2007-04-30 15:38:51 43,176 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys 2007-04-30 15:37:23 26,888 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys 2007-04-30 15:35:28 95,872 ----a-w C:\WINDOWS\system32\AVASTSS.scr 2007-04-25 07:37:05 2,560 ----a-w C:\WINDOWS\system32\BitCometRes.dll 2007-03-25 09:51:55 49,712 ----a-w C:\WINDOWS\system32\perfc015.dat 2007-03-25 09:51:55 355,830 ----a-w C:\WINDOWS\system32\perfh015.dat ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll [2003-11-04 00:17] {16664845-0E00-11D2-8059-000000000000}=C:\Program Files\Common Files\ReGet Shared\Catcher.dll [2005-03-08 16:22] {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}=C:\Program Files\BitComet\tools\BitCometBHO_1.1.3.28.dll [2007-03-29 16:31] {53707962-6F74-2D53-2644-206D7942484F}=C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2005-05-31 02:04] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-04-30 17:42] “DAEMON Tools-1033”=“C:\Program Files\D-Tools\daemon.exe” [2004-08-22 17:05] “SpeedTouch USB Diagnostics”=“C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” [2004-01-26 11:38] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\System32\ctfmon.exe” [2002-10-10 14:13] “EdHTML”=“C:\Program Files\Binboy\EdHTMLv5.0\EdHTML.exe” [2003-03-24 18:38] “Windowe LoL Layera”=“qbekcml.exe” [] HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs* ************************************************************************** catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-10 19:44:52 Windows 5.1.2600 Dodatek Service Pack. 1 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-06-10 19:45:26 C:\ComboFix-quarantined-files.txt … 2007-06-10 19:45 — E O F —

ściągnąłem sobie i zainstalowałem Firewalla : Norton Personall Firewall 2005 PL.

Jak myslisz - jesto to skuteczny Firewall? Jaki polecasz i firewall i antyvirus?

qrczak13 · 10 Czerwiec 2007 18:12

Do notatnika wklej:

Plik > zapisz jako > zmień rozszerzenie z .txt na wszystkie pliki > zapisz pod nazwą Fix.reg np na

pulpicie > dwuklik na Fix.reg > potwierdzasz > restart.

I będzie ok.

Optymalizacja i odchudzanie Windows XP

Zainstaluj sobie sp2:

http://dobreprogramy.pl/index.php?dz=2&t=35&id=795

Z darmowych av:

http://dobreprogramy.pl/index.php?dz=2&id=425&t=30

http://dobreprogramy.pl/index.php?dz=2&id=388&t=30

Z firewalli

http://dobreprogramy.pl/index.php?dz=2&id=611&t=84

http://dobreprogramy.pl/index.php?dz=2&id=1036&t=84

Oczywiście ktoś może powiedzieć że inne, wybór to kwestia sprawdzenia oprogramowania.

Poczytaj jeszcze to:

http://forum.dobreprogramy.pl/viewtopic.php?t=58690&start=0&postdays=0&postorder=asc&highlight=

Farciash · 12 Czerwiec 2007 05:02

Dzięki piękne qrczak, Gutek i Mario. Jak narazie komp pięknie hula (internet też ^^) ściągnałem sp2, avasta professional, Sunbelt Personal Firewall. Do tego z programów czyszczących mam jeszcze ad-aware+spybot Search&destroy.

Moge mieć to wsyzstko razem (czy one sie nie gryzą/ jeden nie pogarsza skuteczności drugiego czy coś?

Dziękuje aLL =*

adam9870 · 12 Czerwiec 2007 09:38

Nie, wszystko powinno działać bezproblemowo.

Ewentualnie możesz zastanowić się nad zmianę zestawu spybot + ad aware na jeden bardzo dobry tego typu program - AVG Anti-Spyware